Komplett ohne Kennwortschutz stehen sie im Internet – nun wird mit Datenbanken Lösegeld erpresst! Das Vorgehen war bei ca. 1.800 Datenbanken, die unter MongoDB laufen, immer gleich. Eingeloggt – gespeichert und überschrieben. Die ersten Nachahmer sind bereits unterwegs.
Betroffene sind selber Schuld – das nötige Wissen fehlt!
Schon öfter wurde über ungesicherte MongoDBs berichtet. Häufig betroffen von Schwachstellen sind MongoDB-Installationen auf Cloud-Hosting-Diensten. Durch die Installation fertiger Images, welche seit längerer Zeit nicht gewartet worden sind, holt man sich die Schwachstelle an Bord. Immerhin 78% der betroffenen Installationen liefen mit Versionen, über die Schwachstellen bereits bekannt sind und als angreifbar gelten.
Was Betroffene tun können – wie präventiv gehandelt werden kann!
In einigen Fällen wird ein automatisches BackUp von Datenbanken abgelegt. Sobald man Opfer von Ransomware wird, lohnt es sich die Sicherung zurückzuspielen. Die Lösegeldzahlung lässt sich so umgehen.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
MongoDB stellt außerdem eine Security CheckListe1 zur Verfügung. Admins können sich mit den Informationen dort schlau machen, wie sich eine MongoDB-Installation absichern lässt. Doch auch der generelle Hinweis, die Serversoftware stets aktuell zu halten, wird offensichtlich selten nachgekommen.
Wie wurden die Datenbanken im Internet gefunden?
Die Suchmaschine Shodan ist hier das Werkzeug erster Wahl. Hier werden nicht Links zu anderen Websites gesammelt, sondern Geräte, welche offen im Internet stehen. Dazu zählen neben IP-Kameras auch Datenbanken.
Der Shodan-Gründer John Matherly hat auf Twitter bekanntgegeben, dass der Datenbankname “WARNING” bereits auf Platz 4 gelandet ist. So werden Datenbanken umbenannt, die von einem Angriff betroffen sind. Häufigere Namen für Datenbanken sind nur noch “local”, “admin” und “test”.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mit Datenbanken Lösegeld erpressen – meine Meinung!
Die erste Welle der Erpressungen fordert noch moderate 0,2 Bitcoins. Das sind zum aktuellen Zeitpunkt ca. 210€. Dienste vom Netz zu nehmen, um eine Datenbank zurückzuspielen kostet häufig mehr Personalkosten. Aus diesem Grund bezahlen wohl einige Betroffene die Summe und fahren fort.
Die ersten Nachahmer sind jedoch unterwegs. Diese fordern bereits 0,5 Bitcoins. Wahrscheinlich bleibt es nicht dabei. Es sollte daher überprüft werden, ob die eigene MongoDB abgesichert ist. Außerdem sollten nicht nur zwingend BackUps angelegt werden, sondern auch regelmäßig getestet werden.
Weitere Informationen und Quellen
[1] Hacker kapern über 1.800 Datenbanken und fordern Lösegeld (Golem)
[2] MongoDB Security Manual